Nella giornata del 3 Luglio 2024, L’istituto di ricerca Australiano Harry Perkins è stato vittima di un attacco Ransomware rivendicato da MEDUSA nel loro DLS ufficiale. Più di 4.6 TeraByte di registrazioni delle CCTV all’interno dell’edificio principale sono i dati in ostaggio. Un pagamento di 500.000$ per la cancellazione dei dati e altrettanti per poterli scaricare, inoltre con 10.000$ la vittima può aggiunger 24 ore di tempo al countdown partito da 9 giorni.

La natura dei dati attaccati (registrazioni video) è inusuale rispetto agli altri attacchi ransomware, la privacy dei 172 dipendenti e collaboratori è a rischio insieme ai movimenti interni all’azienda.

Alla scrittura di questo articolo non si hanno dichiarazioni dall’azienda ma si aspetta una conferma direttamente dalla vittima in quanto non si sa se l’istituto stesso o un ente terzo responsabile della videosorveglianza è stato attaccato.

MEDUSA RaaS

Scoperto nel 2019, MEDUSA è un RaaS che fin dagli inizi della sua carriera ha attaccato organizzazioni di education, healthcare e industrie principalmente negli USA. Il loro DLS chiamato Medusa Blog è stato introdotto solo nel 2023 mostrando una organizzazione a doppia estorsione con i 3 classici “post-pentest services” – tempo aggiuntivo, cancellazione dei dati o download completo dei dati encrypted.

Secondo una nota del progetto #StopRansomware della CISA il gruppo sfrutta in maniera massiccia configurazioni RDP vulnerabili e il phishing con allegato il malware che tramite Social Engineering viene fatto eseguire direttamente dalla vittima. Nell’ultimo anno si ipotizza l’utilizzo di credential brokers per ottenere un initial access tramite il riutilizzo di credenziali da parte degli utenti.

Unit42 ha eseguito un censimento delle vittime di Medusa divisa per settore e nazione. L’healthcare si posiziona al 4 posto e l’italia occupa la stessa posizione nella leaderboard delle nazioni.

Lo sguardo di MEDUSA

Il malware usato dal RaaS (MedusaLocker) risulta essere complesso, articolato e funzionale grazie a diverse tecniche usate per evadere difese e divincolarsi all’interno delle reti interni delle vittime.

Tra le technice di Initial Acess abbiamo l’utilizzo di server Windows IIS precedentemente compromessi che permettono, tramite l’utility di Windows bitsadmin, di scaricare un file ZIP contenente il software ConnectWise utilizzato per l’accesso remoto da parte degli attaccanti. Esistono varianti sul file scaricato e anche alternative ai server IIS come Microsoft Exchange Server, i threat actor sembrano preferire l’utilizzo di software microsoft per poter bypassare processi di monitoring camuffando il traffico maligno come lecito. Oltre a ciò l’exploit di vulnerabilità conosciute è un’altro metodo usato dal gruppo, specialmente per interfacce come web applications.

Il software Safeengine Shielden sembra essere la norma all’interno delle varianti del malware, utilizzato per rilasciare driver kernel level per differenti prodotti di security. Tramite il software è possibile offuscare e proteggere l’entrypoint dei driver che vengono caricati tramite il loro loader.

Il ruolo dei driver è di terminare i processi presi da una lista inclusa all’interno del codice (hardcoded) tramite il codice IOCTL 0x222094 e 0x222184.

Inoltre prima di eseguire il codice di attacco, il binario restarta la macchina in Safe Mode prevenendo l’esecuzione di security tool che non si avviano tramite questa modalità di accensione.

Privilege Escalation & Defense Evasion

Per ottenere i privilegi come NT AUTHORITY\SYSTEM viene effettuata una CMSTP UAC bypass, un metodo comune con altri malware non solo ransomware.

Per infettare gli altri host presenti nella rete vengono utilizzati diversi metodi in base al tipo di variante utilizzata, si va dai semplici Script Powershell all’inserimento di webshell. In alcuni sample è stato individuato una versione portatile di NetScan e PsExec, questa combinazione permettere di ampliare le feature di NetScan permettendo configurazione personalizzate attuabili direttamente dal ransomware operator
Versione personalizzata di NetScan offerta da Medusa
Per il resto MedusaLocker non è distante dai suoi colleghi. Funzionalità come decryption di stringe, encryption dei file, eliminazione delle shadow copies e la creazione di ransomware note sono eseguite in maniera similare agli altri ransomware. La lista delle file extensions è molto densa e suggerisce un numero di varianti non indifferente permettendo un’alta adattabilità in base all’ambiente nella quale il malware viene eseguito.

Conclusioni

MEDUSA sembra stia cercando di crearsi un’immagine solida, oltre al DLS un canale telegram dove vengono pubblicati sample o intere sezioni di file rubati è emerso nell’ultimo anno. La loro frequenza di attacchi sta aumentando sempre di più lato healthcare, creando un evidente problema a questi servizi se non opportunamente controllati. Il core del malware è soffisticato e permette di generare danni a catena grazie ai tool costum forniti ai loro affiliates, le loro varianti ne aumentano la pericolosità anche in reti controllate da blue teams. Infine, nonostante gli attacchi siano concentrati in USA, il loro interesse su asset italiani non è da sottovalutare.

Consigliamo di visitare la pagine relativa a MEDUSA della CISA [1] che fornisce IOC aggiornati compresi IP address ed indirizzi email usati per phishing ed initial access. Un alto numero di file hashes è stato pubblicato in una ricerca di Cisco Talos.

Invitiamo anche a monitorare i movimenti del gruppo che oltre a diventare più aggressivo non ha nessun codice etico, qualsiasi azienda o istituzione può essere vittima di MEDUSA. Il monitoraggio deve essere eseguito anche sui data leak essendo che il RaaS utilizza sempre di più credential brokers per infiltrarsi nelle reti prese di mira.

L'articolo Medusa Ransomware rivendica l’attacco a Harry Perkins Institute proviene da il blog della sicurezza informatica.

Useless robots (or useless machines) are devices that, when switched on, exist only to turn themselves back off. They are fun and fairly simple builds that are easy to personify, and really invite customization by their creators. Even so, [tobychui]’s Kawaii Useless Robot goes above and beyond in that regard. Not only will his creation dutifully turn itself off, but if the user persists in engaging it, Kawaii Useless Robot grows progressively (and adorably) upset which ultimately culminates in scooting about and trying to run away.
If anything, it gets cuter when upset.
This is actually a ground-up re-imagining of an original work [tobychui] saw from a Japanese maker twelve years ago. That original Kawaii Useless Robot did not have any design details, so [tobychui] decided to re-create his own.

Behind the laser-cut front panel is a dot matrix LED display made up of eight smaller units, and inside are a total of four motors, an ESP32 development board, and supporting electronics. A neat touch is the ability to allow connections over Wi-Fi for debugging or remote control. The project page has some nice photos of the interior that are worth checking out. It’s a very compact and efficient build!

Watch it in action in the video (embedded below) which also includes a tour of the internals and a thorough description of the functions.

Inspired to make your own useless machine? Don’t be afraid to re-invent the whole concept. For example, we loved the one that physically spins the switch and the clock that falls to the floor when it detects someone looking at it. That last one is a close relative of the clock that displays the wrong time if and only if someone is looking.

youtube.com/embed/l38ngzytmJw?…

The defence and space industry is set to voice concerns about an EU-wide cloud cybersecurity certification scheme (EUCS) in a position paper to be published, calling for data localisation and contractual assurances.

euractiv.com/section/cybersecu…

Despite the EU’s attempts to keep up with AI updates’ breakneck speed, NGOs fear the union is taking a step back in the demanding fight to regulate the technology.

euractiv.com/section/digital/p…

A tuned circuit formed by a capacitor and an inductor is a familiar enough circuit, and it’s understood that it will resonate at a particular frequency. As that frequency increases, so the size of the capacitor and inductor decrease, and there comes a point at which they can become the characteristic capacitance and inductance of a transmission line. These tuned circuits can be placed in an enclosure, at which they can be designed for an extremely high Q factor, a measure of quality, and thus a very narrow resonant point. They are frequently used as filters for that reason, and [Fesz] is here with a video explaining some of their operation and configurations.

Some of the mathematics behind RF design can be enough to faze any engineer, but he manages to steer a path away from that rabbit hole and explain cavity filters in a way that’s very accessible. We learn how to look at tuned circuits as transmission lines, and the properties of the various different coupling methods. Above all it reveals that making tuned cavities is within reach.

They’re a little rare these days, but there was a time when almost every TV set contained a set of these cavities which were ready-made for experimentation.

youtube.com/embed/ALjjW4NgBzg?…

Un sistema di commercio illegale di pesticidi e fertilizzanti contraffatti e vietati, potenzialmente pericolosi per la salute dei consumatori, è stato fermato dalle autorità rumene e italiane.
#Eurojust ed #Europol hanno favorito la costituzione e supportato la squadra investigativa comune formata da Forze di Poliza dei due Stati (#JIT). Nel corso di una serie di azioni in entrambi i paesi sono state raccolte prove di frode su larga scala, falsificazione ed evasione fiscale e un sospettato è stato arrestato.
Il commercio di tutte le sostanze è stato vietato nell'Unione europea (#UE) perché potrebbero essere pericolose per gli utilizzatori e i consumatori in quanto contengono dosi elevate di sostanze attive.
I sospettati importavano illegalmente i prodotti dalla Cina e da Singapore, ma li vendevano come fertilizzanti e pesticidi bio o organici, utilizzando etichette false. I sospettati vendevano anche prodotti contraffatti fingendo che fossero prodotti biologici legittimi.
Tra febbraio e maggio 2023, le autorità doganali rumene hanno individuato tre spedizioni sospette provenienti da paesi terzi. Successivi controlli da parte delle autorità fitosanitarie hanno confermato che si trattava di prodotti contraffatti o vietati, utilizzando etichette falsificate. Ulteriori indagini e perquisizioni in #Romania hanno dimostrato che dietro le attività illegali c'era un gruppo criminale organizzato, composto da cittadini rumeni e italiani che hanno rilevato aziende esistenti in Romania o registrato nuove società commerciali per la vendita dei prodotti in Italia. A questo scopo sono stati utilizzati moduli di dichiarazione falsificati.
L'Autorità giudiziaria italiana ha raccolto numerose prove sulla destinazione al mercato interno delle merci illegalmente introdotte in Romania e ha individuato gli indagati che avevano favorito il traffico illecito di prodotti agricoli provenienti dall'Italia.
Su richiesta delle autorità coinvolte, all’inizio di quest’anno Eurojust ha contribuito alla creazione e al finanziamento di una squadra #SIC .
Durante le attività operative, Europol ha inviato un esperto sul campo per effettuare un controllo incrociato delle informazioni operative in tempo reale e fornire agli esperti eventuali orientamenti e supporto tecnico. Questo sostegno ha portato a una serie di azioni coordinate in Romania e Italia, durante le quali sono state perquisite dieci località tra Arad, Bucarest, Verona e Napoli, raccogliendo ulteriori prove dei crimini.
Nel corso delle attività, l'Autorità Giudiziaria rumena ha arrestato anche uno degli indagati.
Le operazioni sono state effettuate da:
- Romania: Direzione per le indagini sulla criminalità organizzata e sul terrorismo, Ufficio territoriale di Costanza; Direzione delle operazioni speciali (DOS); Brigata per la lotta alla criminalità organizzata – Servizio dei porti marittimi per la lotta alla criminalità organizzata; Uffici doganali di frontiera Constanta e Constanta Sud
- Italia: Procura della Repubblica di Verona; #NAS #ArmadeiCarabinieri Padova; #Guardiadifinanza Verona

@Notizie dall'Italia e dal mondo

In Abruzzo di un’organizzazione criminale (svincolata da contesti di criminalità organizzata di tipo mafioso) formata da cittadini italiani, spagnoli, argentini e colombiani, era dedita al traffico, anche internazionale, di sostanze stupefacenti del tipo hashish e cocaina.

Le sostanze stupefacenti, approvvigionate in Spagna da alcuni indagati residenti nel Paese iberico, venivano trasportate, via gomma, in Italia da corrieri che lo occultavano all’interno di autotreni nella disponibilità dell’organizzazione, per poi essere stoccati in Abruzzo a favore delle piazze di spaccio abruzzesi e marchigiane.

Il sodalizio criminale con vertice, uomini di fiducia e sodali sul territorio nazionale ed estero, poteva contare su punti di riferimento in Spagna e Germania.
Gli inquirenti, durante il lungo periodo d’indagine, hanno posto in essere diversi sequestri, per un totale di circa 100 chili di hashish e 1 chilo di cocaina, riuscendo a ricostruire i vari ruoli degli associati.

Oltre 12 arresti e 2 ulteriori misure cautelari, sono state eseguite diverse perquisizioni nei confronti di altri indagati, residenti in Spagna.

Ad operare sono stati i I Carabinieri del #ROS, che hanno avuto la collaborazione dei militari dei Comandi provinciali di Teramo, Pescara, Fermo, Ascoli Piceno, Brescia e Perugia, e in coordinamento con il #Landeskriminalamt del Nord Reno – Westfalia (Germania), l’Udyco Central della #PoliciaNacional (Spagna), la Police Judiciaire Fédérale di Mons (Belgio) e il Dipartimento Anti-Narcotici della Polizia Nazionale dell’Ucraina, hanno eseguito 14 misure cautelari (10 in carcere, 2 agli arresti domiciliari e 2 obblighi di presentazione alla Polizia Giudiziaria) – emesse dai GIP dei Tribunale de L’Aquila e Teramo, su richiesta rispettivamente della Direzione Distettuale Antimafia de L’Aquila e della Procura Ordinaria di Teramo.

Tutte le persone interessate dal provvedimento sono ritenute responsabili, a vario titolo, di associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope e alla produzione, traffico e detenzione illeciti di sostanze stupefacenti o psicotrope (artt. 74 e 73 D.P.R. 309/1990).

L’attività investigativa, avviata nel dicembre 2021 dalla Sezione del ROS de L’Aquila e condotta con numerose e impegnative attività tecniche e dinamiche, è stata sviluppata in coordinamento con la #DCSA (Direzione Centrale per I Servizi Antidroga) anche attraverso la collaborazione di #EUROJUST e #EUROPOL, nonché col supporto della Rete @ON, a guida italiana della #DIA (Direzione Investigativa Antimafia), finanziata dalla Commissione UE.

#rete@ON #PoliceJudiciaireFédérale #НаціональнаполіціяУкраїни

Eccoci qui. Dopo aver trascorso gli ultimi anni leggendo tra il fediverso e il web alternativo, ho deciso di creare il mio posto dove le persone orientate alla libertà possano discutere di libertà nell'informatica e nella società. Lo scopo generale è ricreare le vibrazioni familiari dell'era BBS mettendo insieme strumenti vecchi e moderni, da IRC a Mastodon. Ecco dove spiego tutto:

- [ENG] dmi.unict.it/nfarceri/articles…
- [ITA] dmi.unict.it/nfarceri/articles…

Benvenuti a casa... vostra!

Questo è il primo articolo di questo sito, dove vengono introdotti gli scopi del sito stesso. In sintesi, il sito ha lo scopo di ricreare il feeling familiare e comunitario delle BBS degli anni '80 e '90 aggregando insieme più strumenti, vecchi e mod…

^{www.dmi.unict.it}